Nieuws
image

Australische overheid geeft tiener aan bij politie wegens lek

woensdag 8 januari 2014, 14:34 door Redactie, 8 reacties

Een Australische overheidsdienst heeft de politie verzocht een onderzoek in te stellen naar een 16-jarige jongen die een beveiligingslek op de website ontdekte en rapporteerde. Joshua Rogers, zoals de jongen heet, wist naar eigen zeggen op eenvoudige wijze toegang tot een database van de Public Transport Victoria website te krijgen.

Public Transport Victoria is verantwoordelijk voor het openbaar vervoer in de Australische staat Victoria. De website bevatte een beveiligingslek waardoor Rogers toegang kreeg tot namen, adresgegevens, vaste en mobiele telefoonnummers, e-mailadressen, geboortedata, identiteitskaartnummer van senioren en negen cijfers van het creditcardnummer. De data was afkomstig van een webwinkel die de overheidsdienst vroeger via de website aanbood.

Waarschuwing

Joshua, die naar eigen zeggen een white hat hacker is en alleen de veiligheid van websites wil verbeteren, waarschuwde de overheidsdienst. Aangezien hij geen reactie kreeg stapte hij naar de Australische media. Een week na de melding had de tiener nog altijd geen reactie ontvangen.

Nadat de overheidsdienst door het Australische Fairfax Media was benaderd ging het tot actie over en vroeg de politie van Victoria om de ongeautoriseerde toegang tot het systeem te onderzoeken. Inmiddels zou het beveiligingslek zijn verholpen. Het onderzoek naar de hack door Rogers loopt nog.

Reacties (8)
08-01-2014, 14:44 door spatieman
zo zie je maar weer.
goede hulp wordt afgestraft!
08-01-2014, 16:22 door schele
Ja uiteraard! Voor je het weet stimuleer je het dat mensen kwetsbaarheden melden ipv uitbuiten, kunnen we niet hebben natuurlijk. Gelukkig leert die jongen die les op jonge leeftijd.
08-01-2014, 16:23 door Anoniem
Been there, done that, didn't get any t-shirt

Uit hun reactie(eerst geen reactie en dan justitie inschakelen) word duidelijk dat de Australiesche overheid nog een paar jaartjes nodig om een beetje volwassen te worden op ict security gebied.
08-01-2014, 19:38 door Anoniem
Onlangs is hier door iemand een vraag gesteld aan Aarnoud.
De vraagsteller wilde hoe dan ook bij iemand controleren of de zaak wel goed afgedicht was.
We hebben uitgebreid gewaarschuwd.

Hier zie je zo'n voorval en wat er kan gebeuren.
Het verloop zal en kan hier hetzelfde zijn met alle gevolgen van dien.
08-01-2014, 20:30 door Anoniem
Kinderen die "white hat hacker" spelen... niet doen. Je bent volledig afhankelijk van de goodwill van degene aan wie je het meldt. En het is ook lastig voor de ontvanger om uit te maken of je wel echt te goeder trouw gehandeld hebt, of waarom je sowieso bezig was aan zeg de website te rammelen. En geen toestemming betekent computervredebreuk.

Merk op dat heel de beveiligingsindustrie hier niet echt een volgbaar voorbeeld geeft. Dat mag best gezegd. Flink veel bombarie en ophemelen van eigen kunnen en het dan gek vinden dat zestienjarigen dat een machtig mooi idee vinden dat ze zelf ook wel willen proberen. Want hee, die witte hoedjes zijn toch de "good guys" en verbeteren de wereld toch?

Hoe was dat ookweer met onze eigen oudere jongere Henk Krol?
09-01-2014, 09:13 door jefdom
Door spatieman: zo zie je maar weer.
goede hulp wordt afgestraft!
ja maar het was wel een ongeautoriseerde hack dus?????
10-01-2014, 14:49 door Anoniem
A self-described ‘‘security researcher’’, he contacted PTV on Boxing Day to alert them to the site’s vulnerability, but got no response until Monday, following inquiries by Fairfax Media.

Het is wel zo dat hij wel erg snel naar de media is gelopen. Ik zou in ieder geval geen reactie verwachten in de periode tussen kerst en nieuwjaar. En zelfs in het nieuwe jaar zou ik aannemen dat het in de grote hoeveelheid kerstmail verloren is gegaan. Een tweede melding halverwege januari was zinnig geweest.

Peter
10-01-2014, 17:48 door Anoniem
Wat ik niet goed snap is dat mensen het risico willen lopen, terwijl er inmiddels legio bedrijven zijn die bereid zijn in plaats van je te vervolgen je toch wel behoorlijk te belonen (Facebook bijvoorbeeld).

Dat gezegd kijk ik er wat cynisch naar. Mensen wijzen op kwetsbaarheden is een groot goed, maar als men bereid is om te vervolgen om het niet te willen horen houdt het op. Geen 'responsible disclosure' beleid van zowel bedrijf als autoriteiten? Dan is mijn advies om niet te onderzoeken, en als je toevallig ergens over struikelt (fat finger typing bijvoorbeeld), je twee keer te bedenken of je in de media hard kan maken dat het een ongeluk was voor je je nek uit steekt en het meldt. Ze willen toch niet gewaarschuwd worden? Laat ze dan maar aan de 'tender mercies' van de cybercriminelen...

Daar staat wel iets tegen over. Het lijkt me geen verkeerd idee om ons sterk te maken voor de gedachte dat de diverse databeschermings autoriteiten het als een verzwarende omstandigheid zouden zien als zij merken dat een organisatie zo lek als een mandje zou blijken te zijn en ze geen fatsoenlijk 'responsible disclosure' beleid zouden hebben. Ze hebben dan bepaald minder gedaan dan mogelijk om lekken op te laten sporen en te dichten...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure